Der Hersteller von NAS-Geräten (Network-Attached Storage) QNAP erklärte am Mittwoch, dass er an der Aktualisierung seiner Betriebssysteme QTS und QuTS arbeitet, nachdem Netatalk im letzten Monat Patches zur Behebung von sieben Sicherheitslücken in seiner Software veröffentlicht hat.
Netatalk ist eine Open-Source-Implementierung des Apple Filing Protocol (AFP), die es Unix-ähnlichen Betriebssystemen ermöglicht, als Dateiserver für Apple macOS Computer zu dienen.
Am 22. März 2022 veröffentlichten die Entwickler die Version 3.1.13 der Software, um wichtige Sicherheitslücken – CVE-2021-31439, CVE-2022-23121, CVE-2022-23122, CVE-2022-23123, CVE-2022-23124, CVE-2022-23125 und CVE-2022-0194 – zu beheben, die zur Ausführung von beliebigem Code ausgenutzt werden können.
„Diese Sicherheitslücke [CVE-2022-23121] kann aus der Ferne ausgenutzt werden und erfordert keine Authentifizierung“, stellten die Forscher der NCC Group letzten Monat fest. „Sie ermöglicht einem Angreifer die Remotecodeausführung als Benutzer ’nobody‘ auf dem NAS. Dieser Benutzer kann auf private Freigaben zugreifen, die normalerweise eine Authentifizierung erfordern würden.
QNAP stellte fest, dass die Netatalk-Schwachstellen die folgenden Betriebssystemversionen betreffen –
QTS 5.0.x und höher
QTS 4.5.4 und später
QTS 4.3.6 und später
QTS 4.3.4 und später
QTS 4.3.3 und später
QTS 4.2.6 und später
QuTS hero h5.0.x und später
QuTS hero h4.5.4 und höher und
QuTScloud c5.0.x
Bis die Updates verfügbar sind, empfiehlt das taiwanesische Unternehmen den Nutzern, AFP zu deaktivieren. Die Schwachstellen wurden bisher in QTS 4.5.4.2012 build 20220419 und später gepatcht.
Die Veröffentlichung erfolgte weniger als eine Woche, nachdem QNAP erklärt hatte, dass es seine Produktpalette auf mögliche Auswirkungen von zwei Sicherheitslücken untersucht, die im letzten Monat im Apache HTTP-Server geschlossen wurden.